Nuovo alert virus. Come la genetica, anche l’informatica muta ed evolve le proprie capacità. In questo caso, fraudolente. Una nuova variante del ransomware Rakhni (nome completo ‘Trojan-Ransom.Win32.Rakhni’) – noto dal 2013 – è stato infatti individuato dai ricercatori di Kaspersky Lab che avvertono sulla sua nuova funzionalità, il mining di criptovalute. Ovvero, il malware decide sulla base delle caratteristiche del Pc colpito “se attivare la funzionalità di cifratura dei file, tipica dei ransomware (virus che poi chiedono un riscatto per essere disattivati, ndr) o quella per l’estrazione di diversi tipi di criptovalute”. In sostanza, se prendersi gli eventuali Bitcoin presenti nel computer.
Questo malware, avvertono gli esperti del CERT – Computer Emergency Response Team, “viene distribuito prevalentemente attraverso campagne di email di spam con allegati malevoli”, “per lo più in Russo” e con “allegato un file di Microsoft Word (estensione .docx) che a sua volta presenta al suo interno quello che appare come un documento PDF embedded. Se la vittima fa incautamente doppio clic sull’icona del documento – si legge – invece di aprire un file PDF lancia un eseguibile malevolo mascherato da prodotto Adobe allo scopo di indurre l’utente a consentire il permesso per l’esecuzione”.
DOVE – Secondo quanto riportato da Kaspersky, il Paese più colpito è la Russia (95,57%) “seguito da Kazakistan (1,36%), Ucraina (0,57%), Germania (0,49%) e India (0,41%). Altri Paesi europei, tra cui l’Italia, sono coinvolti in misura ancora minore”.
COME – “Il trojan decide se scaricare il ransomware o il miner a seconda della presenza o meno sul sistema della cartella %AppData%\Bitcoin”. Se esiste “viene scaricato il modulo per la cifratura. Se la cartella non esiste e la macchina è equipaggiata con un processore con almeno due core logici, viene scaricato il modulo per il mining”. Se nessuna delle due circostanze si verifica, “viene attivata la funzionalità di worm: il trojan tenta di copiare sé stesso su tutti i computer accessibili sulla rete locale con la directory Utenti condivisa”.
ANTIVIRUS – Dopo aver “verificato la presenza di processi in esecuzione relativi a prodotti antivirus”, se nel sistema non viene trovato alcun antivirus, “il trojan esegue una serie di comandi per disabilitare Windows Defender”. Comandi che “inviano email ad un indirizzo codificato al loro interno. Questi messaggi contengono varie statistiche sull’infezione e una serie informazioni tra cui: nome del computer; indirizzo IP della vittima; percorso del malware sul sistema; data e ora correnti; data di creazione del malware”. Ad ogni modo, ricordano gli esperti, “la capacità di individuazione di questa variante di Rakhni da parte dei più diffusi antivirus risulta molto elevata”.
